PT ISIM
Единая точка мониторинга безопасности промышленных ИТ-инфраструктур
Positive Technologies, одна из ведущих компаний в области результативной кибербезопасности, представила на ЦИПР-2026 актуальное исследование1 по киберугрозам в промышленности2: в России за последние два года на отрасль пришлось 16% инцидентов3 в 2024 году и 19% — в 2025-м. С 2024 года интенсивность атак на промышленный сегмент значительно возросла по сравнению с другими секторами российской экономики. Он занял первое место по числу кибератак, тенденция сохраняется и в 2026 году. При этом доля атак с применением вредоносного программного обеспечения (ВПО) выросла с 56% до 83%. Более чем в половине таких случаев (55%) применялось ВПО для удаленного управления, что может говорить об интересе злоумышленников к длительному скрытому присутствию в атакованных системах. Наиболее опасной частью атак на промышленность являются действия нарушителей в технологическом сегменте.
Инциденты на промышленных объектах нарушают производственные процессы, что может лишить людей жизненно необходимых ресурсов — от энергоснабжения до продовольственного обеспечения. От промышленности также зависит работа других важных для экономики страны отраслей, например: транспорта, логистики, строительства, торговли. Все это объясняет устойчивый интерес к отрасли злоумышленников с разными мотивами. За рассматриваемый период российский производственный сектор атаковали 55 группировок. Самыми активными оказались кибершпионские группировки (47% атак), на долю хактивистов пришлось 28% инцидентов, а на долю финансово мотивированных злоумышленников — 25%. Чаще других от киберпреступников страдали предприятия энергетики и ТЭК (22%).
1 В отчете представлены киберугрозы для российского промышленного сектора за 2024–2025 годы. Данные и выводы основаны на собственной экспертизе компании Positive Technologies, данных PT Expert Security Center и threat intelligence, результатах расследований, анализе объявлений на дарквеб-площадках, информации из отчетов кибербитв Standoff, данных из системы обеспечения киберустойчивости промышленных инфраструктур PT ISIM, а также на информации из авторитетных открытых источников.
2 В отчете проанализированы предприятия энергетики и ТЭК, машиностроения, металлургии, приборостроения, добывающей и обрабатывающей, химической и фармацевтической, легкой, космической и авиапромышленности, пищевой и агропромышленности, а также различные производственные компании (заводы, фабрики и т. д.).
3 Количество успешных атак основано на данных из открытых источников, фактическое число может быть выше.
Использование вредоносного ПО (83%) и социальной инженерии (71%) остались основными методами4 атак на российскую промышленность. При этом в большинстве случаев злоумышленники применяли ВПО для удаленного управления (55%) и шпионское ПО (33%), тогда как во всех остальных странах ведущей угрозой были программы‑вымогатели (54%). Вероятно, приоритетами для киберпреступников являлись долгосрочная компрометация и сбор данных, а не немедленное вымогательство.
4 В рамках одной атаки может использоваться несколько методов, а также типов ВПО.
Рост числа атак с использованием ВПО объясняется интенсивным развитием теневого рынка: медианная цена инфостилера5 на нем составляет 400 $, ВПО для удаленного управления — 1500 $, шифровальщика — 7500 $. Там же публикуются руководства по проведению кибератак. Кроме того, анализ объявлений в дарквебе показал — более половины (52%) объявлений об утечках из российских промышленных организаций связаны с бесплатной раздачей скомпрометированных данных, что свидетельствует о повышенном интересе со стороны хактивистов и финансово мотивированных групп; а самая высокая заявленная стоимость украденной информации составила около 300 тыс. $.
Нарушение основной деятельности предприятий фиксировалось в 33% инцидентов, что может приводить не только к остановке производства и перерыву в поставках, но и к угрозе жизни и здоровью людей. Более того, действия злоумышленников в операционно‑технологическом (ОТ) сегменте, доступ к которому, по данным Zero Networks, в 75% случаев удается получить в ходе компрометации ИТ‑инфраструктуры, являются наиболее опасной частью атак.
5 Инфостилер — это вредоносная программа для кражи пользовательских данных.
«В условиях активной цифровизации промышленности растут и киберриски: тесная связь ИТ‑ и OT‑контуров расширяет поверхность атаки, а устаревшие системы годами остаются уязвимыми для известных киберугроз. При этом эффективно защититься с помощью точечных мер или классических ИТ‑инструментов невозможно, тут сказываются особенности среды: специализированные протоколы, требования к непрерывности процессов и высокая цена реализации недопустимого события. Поэтому промышленная инфраструктура требует специализированных решений и комплексного подхода к защите. Только так можно обеспечить киберустойчивость и провести цифровую трансформацию без инцидентов».
Антон КутеповРуководитель центра промышленной экспертизы Positive Technologies
Для достижения киберустойчивости предприятия должны выстраивать защиту ОТ‑систем так же тщательно, как и защиту ИТ‑систем: управлять активами и уязвимостями, контролировать целостность технологической сети, отслеживать взаимодействия между сегментами, защищать конечные узлы, SCADA‑системы и промышленные контроллеры. Например, использовать PT ISIM, который обеспечивает сквозную видимость инфраструктуры и единый контекст событий безопасности, в том числе в изолированных средах.
